Что такое трансграничная передача персональных данных?

Трансграничная передача персональных данных (ТППД) — это действия оператора (компании, организации, госоргана), в результате которых персональные данные гражданина Российской Федерации оказываются на территории иностранного государства. Простыми словами, это любая передача вашей личной информации — ФИО, паспортных данных, номера телефона, адреса электронной почты, истории покупок или местоположения — за границу.

Такая передача становится возможной в самых разных ситуациях: когда международная компания хранит данные своих клиентов на серверах в другой стране, когда вы пользуетесь облачными сервисами (например, Google Диск или iCloud), регистрируетесь на зарубежном сайте, совершаете покупку в иностранном интернет-магазине или даже когда ваша российская работодательская компания является частью международного холдинга и передает данные сотрудников в головной офис за рубежом.

Ключевой принцип: передача считается трансграничной, если данные физически или логически попадают под юрисдикцию другого государства, даже если передающая и принимающая стороны являются частью одной корпорации.

Правовое регулирование в России

В Российской Федерации основным регулятором в этой сфере является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Статья 12 этого закона специально посвящена трансграничной передаче.

Согласно закону, оператор может осуществлять трансграничную передачу персональных данных только при соблюдении одного из следующих условий:

  • Страна-получатель обеспечивает адекватную защиту прав субъектов персональных данных. Роскомнадзор ведет перечень таких стран. На момент написания статьи в этот список входят, например, страны-участницы Совета Европы, подписавшие Конвенцию 108+, и некоторые другие государства.
  • Получено письменное согласие субъекта (то есть человека, чьи данные передаются) на такую передачу. Согласие должно быть информированным, конкретным и сознательным.
  • Передача необходима для исполнения договора, стороной которого является субъект данных (например, для доставки товара из-за рубежа).
  • Передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта или других лиц.
  • Передача осуществляется в рамках международного договора России.

Если страна-получатель не обеспечивает адекватную защиту (например, США не входят в утвержденный перечень), основным легальным основанием становится согласие субъекта. Именно поэтому при регистрации на многих международных сайтах (соцсетях, стриминговых сервисах) вы сталкиваетесь с длинными пользовательскими соглашениями, где отдельным пунктом запрашивается разрешение на обработку и передачу ваших данных.

Роль Роскомнадзора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных. Она ведет реестр операторов, проверяет их деятельность на соответствие 152-ФЗ, выдает предписания и может налагать штрафы за нарушения, в том числе за незаконную трансграничную передачу.

Международное регулирование: GDPR

Важнейшим международным актом является Общий регламент по защите данных (GDPR), действующий в Европейском союзе с 2018 года. Он устанавливает еще более строгие правила для передачи данных за пределы ЕС.

GDPR разрешает трансграничную передачу только если третья страна (например, Россия) признана обеспечивающей «адекватный уровень защиты», либо при наличии специальных гарантий: стандартных договорных положений (SCC), обязательных корпоративных правил (BCR) или иных механизмов. Многие российские компании, работающие с данными граждан ЕС, вынуждены заключать такие стандартные договоры.

Риски и почему это важно для каждого

Почему законодатели так строго подходят к этому вопросу? Основные риски связаны с потерей контроля над личной информацией:

  1. Различные стандарты защиты. В стране-получателе может не быть столь же жестких законов о приватности, что позволяет использовать данные в целях, о которых вы не знали и не давали согласия (например, для агрессивного таргетирования рекламы, скоринга или даже продажи).
  2. Сложность защиты прав. Если ваши данные, хранящиеся за рубежом, будут скомпрометированы или использованы неправомерно, вам будет крайне сложно добиться справедливости в иностранном суде.
  3. Доступ иностранных государств. Законы некоторых стран (как, например, американский Cloud Act) позволяют местным правоохранительным органам запрашивать данные, хранящиеся на серверах компаний, даже если эти серверы физически расположены в другой стране.

Таким образом, трансграничная передача данных — это не технический, а в первую очередь правовой процесс, затрагивающий фундаментальное право человека на приватность. Понимание его сути помогает осознанно давать или не давать согласие на обработку своих данных в интернете и знать, куда обращаться в случае нарушения ваших прав.

Источники